XCTF练习题---WEB---xff_referer

XCTF练习题---WEB---xff_referer

flag：cyberpeace{9626408a4b37eab65854d8ccd22f671c}

解题步骤：

1、观察题目，打开场景

 

 

 2、注意题目要求，xff和referer。还有题目描述，xff和referer是可以伪造的，这里感觉要用到Burp了，打开后放在一边，打开这个场景，是这样的

 

 

 3、页面中显示说IP必须为123.123.123.123，在网页中我们也没有办法改IP，这时候就要用到Burp了，进行抓包，发送到重发器进行编辑

 

 

4、 题目中用到XXF和referer，判断是X-Forwarded-For和Referer，XFF构造来源IP，Refer构造来源浏览器，那接下来就进行构造吧，首先先构造XFF看看，在报文末尾处添加X-Forwarded-For:123.123.123.123，看回显（注意：最后一行数值后面需要空两行，这样才会执行成功）

 

 5、回显果然变了，使用他的IP还不行，要求使用他的地址，那就涉及到referer了，构造语句：Referer:https://www.google.com，发送请求

 

 6、发现flag了，提交，完成，注意！最后一行数值后面需要空两行，这样才会执行成功